Den Support für alternative Hostnamen in Jameica habe ich eingebaut. Ist morgen im Nightly-Build. In dem Zertifikatsdialog wird jetzt die ganze Liste der Hostnamen angezeigt, für die das Zertifikat ausgestellt ist. Dort findet sich dann eine neue Zeile "Alternative Hostnamen", wo dann auch "open4me.de" mit erscheinen sollte.
Eigentlich sollte der Zerifikatsdialog gar nicht angezeigt werden, da Jameica dem Zertifikat eigentlich vollständig selbst vertrauen können sollte, ohne den User fragen zu müssen. Die Ursache hat mit einem Migrationsthema bei Let's Encrypt (https://letsencrypt.org) zu tun. Das ist die Certificate Authority, mit der die Zertifikate auf willuhn.de (und auch die der anderen Plugin-Autoren) signiert sind. Hierbei existiert eine Zertifikatskette:
Das Zertifikat für willuhn.de wurde signiert von "Let's Encrypt (R3)". Und deren Zertifikat wiederrum wurde signiert von "ISRG Root X1". Dieses letzte Zertifikat ist das sog. "Root-Zertifikat". Sowohl Browser als auch Java kennen es und vertrauen ihm. Und damit existiert eine automatisch prüfbare Vertrauenskette, der User muss nicht gefragt werden, ob das Zertifikat o.k. ist.
Nun ist es aber so, dass Let's Encrypt das Root-Zertifikat gewechselt hat. Das richtige und aktuelle ist dieses:
Code
CN (Common Name): ISRG Root X1
Not Valid Before: 2015-06-04
Not Valid After: 2035-06-04
Serial Number: 00 82 10 CF B0 D2 40 E3 59 44 63 E0 BB 63 82 8B 00
Das Tool "certbot", mit dem man die Let's Encrypt Zertifikate erstellen kann, erzeugt aber eine Kette, die bei diesem hier endet:
Code
CN (Common Name): ISRG Root X1
Not Valid Before: 2021-01-20
Not Valid After: 2024-09-30
Serial Number: 40 01 77 21 37 D4 E9 42 B8 EE 76 AA 3C 64 0A B7
Beide sind gültig. Unter
https://community.letsencrypt….ges/150739 ist das näher beschrieben.
Ich habe die vom Webserver für willuhn.de ausgelieferte Chain mal manuell korrigiert. Zumindest für die dort gehosteten Plugin-Repositories sollte damit jetzt keine Warnung mehr kommen (wichtig ist, dass die Option "Den Aussteller-Zertifikaten von Java vertrauen" unter Datei->Einstellungen->System (ganz unten) aktiviert ist). Update: Ich musste die manuelle Zertifikatskorrektur wieder rückgängig machen, weil das unerwünschte Seiteneffekte an anderer Stelle hatte.
PS: Unter Linux funktioniert - zumindest bei mir - das automatische Verifizieren der Zertifikate ohne User-Nachfrage - generell. Lediglich unter Windows konnte ich das Verhalten mit dem Zertifikatsdialog reproduzieren. Ich nehme an, dass manche Java-Versionen beide der o.g. Root-Zertifikate enthalten.
